登陆 注册
  • 哆啦靶场XSS挑战赛1-10关攻略

    LzersLzers 2020-05-06

    哆啦集成了网络上常见的靶场与GitHub上比较好的靶场系统,配合一键启动模式,省去你去收集再进行搭建的时间,方便你更加快速的学习信息安全。该靶场已经正式开源,黑白网去除登录限制重构靶场环境,bachang.heibai.org正文部分XSS挑战赛第一关F12查看了源码发现并没有任何过滤,<script>alert(1)</script>...

  • 应急响应之CC攻击事件

    BY残年BY残年 2020-05-06

    CC主要是用来攻击页面的。大家都有这样的经历,就是在访问论坛时,如果这个论坛比较大,访问的人比较多,打开页面的速度会比较慢,访问的人越多,论坛的页面越多,数据库压力就越大,被访问的频率也越高,占用的系统资源也就相当可观。 一,定义       CC(ChallengeCollapsar,挑战黑洞)攻击是DDo...

  • Xss之Flash钓鱼

    googxxoogoogxxoo 2020-04-29

    相信很多朋友都看过Xss 弹出Flash更新进行钓鱼的文章但大多文章都是一句话概括,故此写一篇关于这方面的文章剧情:某日xxx黑客,发现某网站存在Xss漏洞,但是有httponly,xxx黑客就想利用Xss进行钓鱼,如果只是钓到账号密码,可以去伪造登录页面,提示登录超时,这里以拿到权限为主。先说一下Flash源码(末尾有相关工具+源码下载地址)我已经修改为和...

  • 记一次对PUBG外挂病毒的反制过程

    lyly 2020-04-28

    一、事件前言这事还要从一只蝙蝠开始说起………..疫情的原因在家闲的翻箱倒柜,翻出了这么个玩意,没错这就是“压qiang神器”想当初我把把落地成盒又在某宝铺天盖地的推送下,忍痛割爱花了百来块钱买了这神器。买回来后开始后悔了,经过简单的观察分析此USB的行为,并非啥智能压qiang芯片,实际上就是一个软件加密狗的USB加密了商家给发的无后坐软件,通过对某宝搜索加...

  • 短信身份验证的安全风险

    Hacker毒皇Hacker毒皇 2020-04-28

    前言前些日子在h1溜达的时候发现时看到国外的一位师傅对短信身份验证的安全风险,进行了总结,我将其翻译过来并结合自己以往的一些测试经验进行补充。涉及到的安全风险账户接管这个是短信身份验证最严重的安全风险,攻击者可以窃取任意用户的账户,甚至是事先不知道用户的手机号码用户模拟与上面的类似,但是这个的风险取决于具体的服务。通常,如果可以进行模拟,由于确认机制相同,因...

  • 通达OA < 11.5任意用户登录漏洞分析

    易酒辰易酒辰 2020-04-28

    背景近期,安恒Zionlab团队通过监控发现通达OA官网于2020年04月17日发布了最新11.5版本。产品更新说明中只提示修复了已知的若干问题,但经过团队成员补丁对比之后,发现官方修复了一处任意用户登录漏洞。漏洞危害未经授权的攻击者可以通过构造进行任意用户登录(包括admin),登录之后可进一步上传恶意文件控制网站服务器。影响范围通达OA < 11....

  • 浅析HTTP走私攻击

      作者:锦行科技-安全平台部 Ink23y  如今攻击手段日益层出不穷,令企业防不胜防,因此企业不能再以原有的防守思维去防守。基于攻击者的视角,了解攻击者的攻击手法才能更好地做好防守。本次介绍的是攻击者常用的一种攻击手法"HTTP请求走私",它可以使攻击者能够绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。本文由锦行科技的...

  • 从攻击者角度解读防护思路

    CDL路飞CDL路飞 2020-04-20

    最近圈内关于红蓝对抗,安全防护服务的讨论很热烈,原因相信大家都是很清楚的。目前来看,很多企事业单位对“安全之痛”还缺乏体会,国内安全防护水平的发展很大程度上仍然需要监管部门来推动。最近很多文章都在强调攻击能力的重要性,由于我本人长年从事安全防护产品研究和安全防护工作,所以本文将从攻击能力服务促进安全体系改进提升的角度进行探讨。随着各企业对安全防护的重视不断加...

  • 警惕有毒的“美女”手机app

    安云安云 2020-04-20

    现在手机应用十分丰富,各种美女直播app更是五花八门,层出不穷。不过这些app大多是挂羊头卖狗肉,你想想真的有那么多正经小姐姐闲着跟你聊吗?实际上装了这app不知不觉你的信息已经被盗走,更有甚者还付出了金钱的代价。这不,随手在百度上一搜,就有人中招了。     那么这些”小姐姐“背后是高超的技术团队吗?实际上我们都知道现在的黑灰...

  • 什么是DNS泄漏以及如何解决

    LzersLzers 2020-04-15

    什么是域名系统(DNS)?域名系统是用于在线资源(例如计算机和其他服务)的分散式命名系统。DNS将域名转换为IP地址,从而使用户无需记住一长串数字即可在连接到Internet时访问网站和服务。例如,您当前正在访问的站点的IP地址为“ 104.27.166.50”。尽管有些人可能会记住这么长的数字字符串(并且您知道自己是谁),但记住键入“ pixelpriva...

请关注微信公众号
微信二维码
不容错过
Powered By HeiBaiTeam.